更新时间:2025-07-22 GMT+08:00

配置LDAP域

概述

轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP),是对目录服务器(Directory Server)进行访问、控制的一种标准协议。LDAP服务器可以集中式地管理用户和群组的归属关系,通过绑定LDAP服务器,当一个用户访问您的文件系统的文件时,SFS Turbo将会访问您的LDAP服务器以进行用户身份验证,并且获取用户和群组的归属关系,从而进行Linux标准的文件UGO权限的检查。要使用此功能,首先您需要搭建好LDAP服务器(当前SFS Turbo仅支持LDAP v3协议),常见提供LDAP协议访问的目录服务器实现有OpenLdap(Linux),Active Directory(Windows)等,不同目录服务器的实现细节有所差别,绑定时需要指定对应的Schema(Schema配置错误将会导致SFS Turbo无法正确获取用户以及群组信息,可能导致无权限访问文件系统内文件),当前SFS Turbo支持的Schema有:

  • RFC2307(Openldap通常选择此Schema)
  • MS-AD-BIS(Active Directory通常选择此Schema,支持RFC2307bis,支持嵌套的群组)

SFS Turbo还支持配置主备LDAP服务器,当您的一台LDAP服务器故障无法访问后,SFS Turbo将会自动切换到备LDAP服务器访问,以免影响您的业务。如果所有配置的LDAP服务器都不可连通,则所有用户都会失去访问权限。

如果系统已对接 LDAP 服务器,SFS Turbo将不会对未在LDAP中配置的用户授予任何权限。

使用限制

  • 仅支持NFS协议类型的SFS Turbo文件系统配置LDAP域。
  • 在SFS Turbo对接LDAP服务器后,单个用户最多支持加入512个用户组。
  • 在SFS Turbo对接LDAP服务器后,任何未存在于该LDAP服务器中的用户,其访问请求均会被系统拒绝。
  • 在SFS Turbo对接LDAP服务器后,SFS Turbo将完全依据LDAP服务器中的配置信息来确定用户的组成员身份。本地的用户组信息将不再有效。
  • 在SFS Turbo对接LDAP服务器之前,确保所有需要通过SFS Turbo访问资源的用户已存在于LDAP服务器中,且已分配至正确的用户组。

加域操作步骤

  1. 登录SFS Turbo管理控制台。
  2. 单击“SFS Turbo > 文件系统列表”,进入SFS Turbo文件系统列表中。
  3. 找到待加域的NFS协议类型的SFS Turbo文件系统并单击目标SFS Turbo文件系统名称,进入SFS Turbo文件系统详情界面。
  4. 单击“LDAP域”页签,进入LDAP域配置页面。
  5. 单击“加域”。

    图1 LDAP域配置页面

  6. 填写LDAP域配置信息,单击“确定”。

    图2 填写配置信息
    表1 参数说明

    参数名称

    说明

    主服务器地址

    必填参数。

    LDAP服务器的url。格式为ldap://{ip_address}:{port_number}或ldaps://{ip_address}:{port_number}的服务器地址,例如ldap://192.168.xx.xx:60000。

    备服务器地址

    选填参数。

    LDAP备服务器的url。格式为ldap://{ip_address}:{port_number}或ldaps://{ip_address}:{port_number}的服务器地址,例如ldap://192.168.xx.xx:60000。

    基准DN

    必填参数。

    指定LDAP进行搜索的起始DN,即从该DN下开始搜索。

    绑定DN

    选填参数。

    服务器的绑定目录。客户端发起连接请求与LDAP服务器建立会话,这一过程被称为绑定。在建立绑定时客户端通常需要指定访问账号,以便能够访问服务器上的目录信息。用户访问内容必须通过绑定目录来进行查找。

    VPC ID

    选填参数。

    在SFS Turbo支持多VPC的场景下,需要指定LDAP服务器可连通的VPC ID。

    LDAP认证密码

    选填参数。

    LDAP认证密码。

    Schema

    选填参数。

    LDAP模板信息。支持选择RFC2307或MS-AD-BIS。

    如果您提供LDAP服务的服务器为AD域,请选择MS-AD-BIS,否则后续操作将提示权限不足。

    LDAP搜索的超时时间(秒)

    选填参数。

    SFS Turbo到用户LDAP服务器的查找超时时间。最多选择30秒。

    故障时允许使用本地用户鉴权

    勾选该参数。

  7. 等待片刻后, NFS协议类型的SFS Turbo文件系统的LDAP域配置页面显示主服务器地址、备服务器地址、LDAP配置任务类型、LDAP配置任务状态、基准DN、绑定DN、VPC ID、Schema、LDAP搜索的超时时间、故障时允许使用本地用户鉴权等信息,表明加域成功。

退域操作步骤

  1. 登录SFS Turbo管理控制台。
  2. 单击“SFS Turbo > 文件系统列表”,进入SFS Turbo文件系统列表中。
  3. 找到待退域的SFS Turbo文件系统并单击目标SFS Turbo文件系统名称,进入SFS Turbo文件系统详情界面。
  4. 单击“LDAP配置”页签,进入LDAP域配置页面。
  5. 在已加域界面,单击“退域”按钮,弹出退域提示界面。
  6. 确认信息,单击“确定”,开始退域流程。
  7. 退域成功后,LDAP域配置页面删除退域前的信息。

    图3 退域成功界面展示

    加域失败的SFS Turbo文件系统支持退域操作。

相关操作

针对NFS协议类型的SFS Turbo文件系统,您还可以在已加域界面的操作列,单击“编辑”按钮,对加域信息进行修改操作。